AA_3d-torwart_11256987_123rf_Rafa_Borowiec.jpg

© Rafa Borowiec, 123RF

Firewall-Distribution IPFire

Torhüter

Die Firewall-Distribution IPFire sichert nicht nur Ihr Netz gegen Angriffe von außen ab, sondern ermöglicht auch das anonyme Surfen via Tor-Netzwerk.

So gut wie jeder Rechner mit Internet-Zugang verfügt inzwischen über eine ins Betriebssystem integrierte Firewall. Sobald Sie jedoch mehrere Rechner simultan über ein Netzwerk an das Internet anschließen, steigt der Administrationsaufwand enorm. Abhilfe schafft ein zwischen den DSL-Anschluss und das Intranet geschalteter Firewall-Rechner, der den gesamten ein- und ausgehenden Datenverkehr überwacht. Mit der darauf spezialisierten Linux-Distribution IPFire sichern Sie Ihr Intranet bequem und effizient gegen Angriffe ab.

Los geht's

Das lediglich 102 MByte kleine ISO-Image von IPFire steht in der neuesten Version Core 72 auf der Projektseite [1] zum Download bereit. Als Mindestvoraussetzung für den Betrieb von IPFire nennen die Entwickler eine Pentium-I-CPU, 128 MByte Arbeitsspeicher und eine 2 GByte große Festplattenpartition. Somit steht einer Reaktivierung eines betagten PCs als Firewall nichts im Weg.

Allerdings gilt es zu beachten, dass der sinnvolle Betrieb einer dedizierten Firewall nur mit mindestens zwei LAN-Schnittstellen möglich ist. Wollen Sie die Distribution auch zum Absichern eines WLAN einsetzen oder ein größeres Netz mit einer DMZ versehen, benötigen Sie hierfür ebenfalls noch die passenden Netzwerk-Interfaces. Beachten Sie, dass dass IPFire ältere 10-Mbit/s-LAN-Karten nicht mehr unterstützt. Mit den meisten gängigen Fast- oder Gigabit-Ethernet-NICs kommt sie jedoch problemlos zurecht. Ähnliches gilt für WLAN-Karten, die IPFire erst ab dem 802.11g-Standard unterstützt. Ältere Modelle erweisen sich nicht nur als langsam, sondern aufgrund ihrer schwachen Verschlüsselung als enormes Sicherheitsrisiko, das auch die beste Firewall nicht einschränken kann.

Nach dem Brennen des CD-Images installieren Sie die Distribution auf dem gewünschten Rechner. Bei der Standardinstallation fragt die optisch rustikal wirkende Routine lediglich die Tastatur-Lokalisierung ab sowie die gewünschten Passwörter für den Root- und den Administrator-Zugang. Nach Abschluss der Installation und einem Neustart des Systems geht es an die Konfiguration.

Farbenspiele

Als ersten Schritt konfigurieren Sie physikalisch im System vorhandene Netzwerk-Schnittstellen und Dienste. Damit auch Einsteigern das Aufsetzen einer komplexen Firewall gelingt, kennzeichnet IPFire die Schnittstellen farblich: Rot repräsentiert den "gefährlichen" Zugang zum Internet, Grün das "ungefährliche" Intranet, das blaue Interface steht für das WLAN, und eine eventuell vorhandene DMZ hängt am orangefarbenen Anschluss.

Da IPFire die eingebauten Netzwerkkarten in den meisten Fällen automatisch erkennt, brauchen Sie im Einrichtungsdialog lediglich das passende Device der jeweiligen Farbe zuzuordnen. In übersichtlichen Einstellungsdialogen ohne optische Gimmicks geben Sie die gewünschten IP-Adressen der Schnittstellen an und konfigurieren die DNS- und Gateway-Dienste. Danach starten Sie die Distribution neu. Wurde das Initial-Setup korrekt erledigt, erreichen Sie von nun an den Rechner übers Netzwerk.

Die Konfigurationsoberfläche für alle IPFire-Dienste realisierten die Entwickler sinnvollerweise nicht mithilfe einer speziellen Applikation, sondern über eine Weboberfläche. Das gewährleistet ein problemloses Administrieren des Systems auch in heterogenen Umgebungen. Sie erreichen das System mit einem Webbrowser unter der Adresse https://IPFire-IP:444, alternativ via https://ipfire.localhost:444. Nach einer Zertifikatsabfrage und anschließender Authentifizierung als Administrator erscheint die Weboberfläche mit den Einstellungsdialogen (Abbildung 1). Misslingt eine Verbindung zu IPFire wider Erwarten, ändern Sie die Grundkonfiguration, indem Sie im Terminal des Firewallrechners setup eintippen und sie anpassen.

Abbildung 1: Übersichtlich und aufgeräumt präsentiert sich die zentrale Verwaltungsoberfläche von IPFire im Webbrowser.

In der horizontal am oberen Fensterrand befindlichen Reiterleiste der Weboberfläche finden Sie die Hauptgruppen, rechts davon erscheint vertikal das kontextsensitiv sogenannte Sidemenu mit den Untergruppen. Im ersten Schritt klicken Sie auf den Reiter firewall, um die auf dem Duo Netfilter/Iptables basierenden Firewall-Einstellungen zu öffnen. Bereits vorhandene Settings zeigt die Oberfläche links im Fenster an. Einzelne Parameter dazu rufen Sie über das Sidemenu auf.

Danach bietet es sich insbesondere bei einem größeren Intranet an, im Reiter netzwerk die Proxy-Einstellungen anzupassen. Die Distribution setzt hier auf den unter Linux häufig genutzten Proxy-Server Squid, der professionelle Konfigurationsmöglichkeiten bietet. Via URL-Filter aus dem Sidemenu blocken Sie mithilfe von Sperrkategorien sowie Blacklists unerwünschte Seiten. Hier finden Sie zudem weitere Kategorien, wie zu sperrende Dateierweiterungen oder auch eine netzwerkbasierte Zugriffskontrolle mit der Sperrung von IP-Adressen. Vorgefertigte Blacklists, die Sie per Knopfdruck ins System einpflegen können, stehen im Internet zum Download bereit.

Eine weitere nützliche Funktion zur Intranet-Administration stellt der ebenfalls im Reiter netzwerk befindliche Connection Scheduler dar. Mit ihm legen Sie Zugriffszeiten für das Internet fest sowie Aktionen, die IPFire zu festgelegten Zeiten erledigt.

Im Reiter dienste finden Sie weitere sicherheitsbezogene Einstellmöglichkeiten, wobei insbesondere die Links IPSec, OpenVPN, Quality of Service und Einbruchdetektierung eine wichtige Rolle spielen. IPFire setzt bei der Einbruchserkennung auf den Snort-Server, der Datenpakete auf Unregelmäßigkeiten hin prüft und mutmaßliche Einbrüche meldet. Er bietet dazu vorgefertigte Regeln, die Sie aus dem Internet laden und in die IPFire-Installation integrieren, sodass eine umständliche Installation von Hand entfällt (Abbildung 2).

Abbildung 2: Einbruchserkennung leicht gemacht: Dank den vorgefertigten Regeln erkennt das IDS Snort Angriffsversuche auf den Server auch ohne komplizierte manuelle Konfiguration.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Netze absichern mit IPFire
    So gut wie jede Distribution bringt eine eingebaute Firewall mit. Professioneller Schutz eines Netzwerks erfordert aber mehr. Hier versieht die dedizierte Firewall-Distribution IPFire gute Dienste.
  • IPfire bekommt Security-Fix

    Die Entwickler der Firewall-Distribution IPfire haben mit 2.11 Core Update 56 eine Sicherheitsaktualisierung veröffentlicht.
  • Firewall-Distribution IPFire
    Als markanteste Änderung an Version 2.11 von IPFire integrierten die Entwickler eine stark erweiterte VPN-Funktionalität in die Firewall-Distribution. Der Artikel zeigt, wie Sie diese nutzen.
  • IPFire 2.17 Core Update 94
    Die auf den Betrieb als Firewall optimierte Distribution IPFire liegt in einer neuen Version vor. Sie behebt vor allem Fehler und erhöht die Sicherheit. So flog etwa die Unterstützung für DSA-Verschlüsselung von Bord.
  • Freie Firewall IPfire 2.11

    Die Firewall-/Router-Distribution IPfire bietet ihre Software in Version 2.11 auch für ARM-Prozessoren an.
Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...